マイクロソフトは、スパイ活動やサイバー犯罪ネットワークによって長年悪用されてきた、重大なWindowsショートカットファイルのバグをひっそりと塞ぎました。
CVE-2025-9491として追跡されているこの脆弱性は、悪意ある .lnk ショートカットファイルが有害なコマンドライン引数をユーザーから隠すことを可能にし、被害者がショートカットを開いた際に隠れたコードを実行できるようにします。
トレンドマイクロが3月に述べたところによると、2017年にさかのぼるほぼ1,000件の悪意ある .lnk サンプルが、この弱点を世界中の国家支援型およびサイバー犯罪キャンペーンの混在環境で悪用していました。「我々の分析により、北朝鮮、イラン、ロシア、中国に属する11の国家支援グループが、主にサイバースパイ活動とデータ窃取を目的とした作戦でZDI-CAN-25373を使用していたことが判明しました」と当時同社は述べています。
その手口は一見すると非常に単純です。悪意あるコマンドに空白(またはその他の非表示文字)を詰め込むことで、Windowsでショートカットのプロパティを表示した際、「リンク先」フィールドが無害に見えるようにします――空白のまま、あるいは無害そうなバイナリで終わっているように見せかけることで、悪意あるペイロードを効果的に隠蔽するのです。
トレンドマイクロのZero Day Initiative(ZDI)がこの欠陥にパッチを当てるようマイクロソフトに求めた当初の試みは、マイクロソフトに退けられました。同社はこの欠陥を「重大度が低い」とし、対応の基準を満たさないと主張していました。
しかし、その悠長さが許される時間は終わりました。パッチ監視サービスの0patchによると、マイクロソフトは2025年11月の「Patch Tuesday」更新プログラムの一部として、「サイレント緩和策」を展開しました。更新後は、Windowsの「プロパティ」ダイアログがコマンド全体を表示するようになり、攻撃者が頼りにしていた難読化トリックは封じられました。
この修正のタイミングは決して偶然ではありません。10月にはArctic Wolf Labsの研究者が、UNC6384または「Mustang Panda」として知られる中国関連のスパイグループが、ハンガリー、ベルギー、イタリア、セルビア、オランダの欧州外交機関を標的としたキャンペーンでCVE-2025-9491を悪用していたことを公表しました。
攻撃チェーンは、NATOや欧州委員会のワークショップへの招待を装ったスピアフィッシングメールから始まりました。受信者が一見無害に見えるショートカットを開くと、隠されたコマンドが難読化されたPowerShellスクリプトを起動し、多段階のペイロードを投下。最終的には、正規の署名付きバイナリを利用したDLLサイドローディングを通じて、PlugXリモートアクセス型トロイの木馬がインストールされました。これにより攻撃者は、侵害されたシステムへの持続的かつステルス性の高いアクセスを得ることができました。
このキャンペーンは、LNK形式が攻撃者にとっていかに価値の高い存在になっているかを浮き彫りにしています。短く、一見無害に見えるファイルでありながら、多くのメール添付ファイルフィルタをすり抜け、ソーシャルエンジニアリングを通じて完全なリモートコード実行を可能にするのです。
防御側にとって、マイクロソフトの緩和策がリスクの消滅を意味するわけではありません。長年にわたる広範な悪用の歴史から、多くのシステムが依然として侵害されたままである可能性が示唆されます――そして、影響を受けるすべてのWindowsマシンが更新プログラムを受け取るまでは、この手口は依然として実環境で危険なままです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/04/microsoft_lnk_bug_fix/
